DarkNet. О, сколько в этом слове: и пафос, и ужас, и непонимание… и область полезных знаний. Основной негатив исходит от тех, кто не слишком в теме. По сути, Dark Net — это такой же интернет, но живет он в своем первозданном и незамутненном корпоративным и госрегулированием виде.

И сегодня мы поговорим о том, как искать информацию в рамках OSINT именно по этой части всемирной паутины.

Перед прочтением рекомендую ознакомиться с предыдущими статьями цикла о Maltego:

Часть 1 — Что такое Maltego и зачем оно вообще нужно

Часть 2 — Интерфейс и базовое устройство

Часть 3 — Maltego и OSINT в Facebook

Часть 4 — Maltego и OSINT в ВК, Instagram, LinkedIN и других соцсетях

Часть 5 — Применение системы распознавания лиц для OSINT в Maltego

Часть 6 — Поиск информации с применением геолокации

Там много полезной информации.

В рамках данной статьи я постараюсь описать методы из личной практики, в которых я использовал поиск по DarkNet.

Проверка благонадежности сотрудников

Иногда у работодателя, особенно крупного, возникают резонные вопросы: «А не приторговывают ли мои сотрудники инсайдерской информацией?» или «А все ли чисто с нашим новым кандидатом на должность Х?». Надежный метод — проверка как биографии работника, так и его поведения в социальных сетях. Но иногда, чтобы ответить на упомянутые выше, да и многие другие вопросы, требуется копнуть еще глубже. И вот тут-то нам на помощь может прийти Maltego.

Проверять мы будем некую Тину Томсон (Tina Tomson) из Берлина на предмет незаконных делишек.

Для начала берем известную информацию о работнике и заполняем граф. Нам известна локация (Берлин), Имя и Фамилия (Тина Томсон) и e-mail (tin.ka0186@gmail.com).



Используя Entitie: Search Person мы запускаем Transform: [Facebook] Search Users. Получаем аккаунт Тины в Facebook.



Для Entitie: Email Address мы стартуем Transform: [Facebook] Lookup By Email. Малтиго добросовестно находит тот же аккаунт, чем подтверждает, что это нужный нам человек.



Продолжаем продвигаться и запрашиваем на граф все данные со страницы Facebook через Transform: [Facebook] Get User Details. Получаем дополнительную информацию о месте работы, учебы, проживания (если данная информация заполнена в профиле фейсбук). Бонусом получаем связанный Инстаграм-аккаунт.



Теперь будет финт, который я показывал ранее в статье №3 про Facebook. Нам потребуется выполнить для обоих аккаунтов Transform: [Convert] To Entities From Profile, чтобы получить предполагаемые Alias’ы человека (ну или если по-простому — предположительные никнеймы).



Теперь мы имеем первые 2 стартовые точки, через которые мы можем выполнить поиск по форумам в Dark Net — это пользователи с никнеймом tina.tomson.927 и tinka87.
Запускаем Transform: [Darknet] Search User по обоим Alias и смотрим результат.



А вот и пользователь. На некоем Skynet Forum по адресу 5jloХХХХХХwk3.onion (изменено, ибо нефиг тут ссылками на даркнет-форумы кидаться) имеется пользователь с ником tinkati87. Вот это уже подозрительная информация!

Давайте проверим что пишет данный пользователь. Для этого запускаем Transform: [Darknet] User Posts.



А вот и доказательства. Пользователь под ником tinkati87 на форуме Skynet Forum продает ответы на экзаменационные тесты в Берлинском Университете. А как мы с Вами уже установили ранее — именно там она и работает. И именно под таким же ником она зарегистрирована в Instagram.



Также, при необходимости, мы можем выгрузить на граф топик форума и из него выгрузить аккаунты пользователей, которые принимают участие в обсуждении, чтобы в последующем попытаться выявить студентов, которые, возможно, купили у нее ответы на тест.



Еще одной интересной опцией является возможность выгрузки целиком веб-страницы форума прямо из Maltego.

И заметьте, все это расследование мы смогли провести, даже ни разу не посещая данный форум и сайты *.onion.

PGP ключ, который смог

Частой практикой в DarkNet является применение PGP-ключей для защиты переписки. Однако эти ключи могут сыграть злую шутку с владельцем, если попадут не в те руки.

— Как? — спросите вы? Очень просто! PGP-ключ частенько содержит в себе информацию о том, к какому E-mail он относится. Чуете, чем пахнет применительно к DarkNet? Специально для этого случая я сгенерировал такой ключ. Загрузив его в Entitie: PGP Open Key, мы запускаем магию посредством Transform: [Convert] PGP To Email.



Вуаля! Мы имеем адрес электронной почты.



Что делать дальше? А давайте поищем в Facebook такой аккаунт. Запускаем Transform: [Facebook] Lookup By Email.



И, как итог, получаем аккаунт в Facebook.

Поиск информации на форумах DarkNet по ключевым словам и фразам

Теперь давайте к более интересному — поиску информации по заданным ключевым фразам. Тут все, как с Google. Берем Entitie: Phrase и задаем ей значение искомого слова/предложения. Применяем Transform: [Darknet] Search Posts и получаем выборку по постам на различных форумах, где есть указанная нами фраза.





Помимо просто поиска по форумам есть еще возможность искать «товары» на тематических сайтах. В этом нам поможет все таже Entitie, только теперь мы запустим Transform: [Darknet] Search Products. В выдаче мы получим ссылки на «лоты» продуктов.



Еще поиск товаров можно выполнить от Entitie: Location. Тут нам доступны Transforms по поиску доставки в локацию и из нее: [Darknet] Search Products (shipping from) и [Darknet] Search Products (shipping to).



Как и всегда с Даркнетом — товары на любой вкус. От огнестрела до обнала. Шутка. Ну почти.



Вот и все на сегодня. Не забывайте — даркнет может быть таким же отличным источником информации, как и Google. Главное — уметь искать. Не пропустите следующие статьи! Если у Вас есть вопросы, то не стесняйтесь, задавайте в комментариях к статьям. Я постараюсь ответить и помочь. Ну а если хочется почитать про самые интересные новости из мира ИБ и технологий, приходите в наш уютный тг-канал.